使用Wireshark分析抓包工具抓到的ARP数据包内容ARP协议全面实战手册大学霸

使用Wireshark分析抓包工具抓到的ARP数据包内容ARP协议全面实战手册大学霸

【实例1-5】使用Wireshark分析抓包工具抓到的ARP数据包内容，以验证ARP报文格式。

使用Wireshark捕获到的ARP数据包，如图1.13所示。

图1.13  ARP广播报文使用Wireshark分析抓包工具抓到的ARP数据包内容ARP协议全面实战手册大学霸

从该界面可以看到中间部分有三行信息，这三行前面都有一个“+”。点击“+”，这一行将会被展开。下面逐行分析。

展开第一行信息，看到的结果如图1.14所示。

 

图1.14  第21个数据帧

在该界面可以看到这个帧的一些基本信息。如帧的编号为21（捕获时的编号）、帧的大小为60个字节，帧被捕获的日期和时间、帧距离前一个帧的捕获时间差、帧距离第一个帧的捕获时间差、帧装载的协议为ARP等。

展开第二行信息，看到的结果如图1.15所示。

 

图1.15  以太网信息

从图1.5中可以看到第二行信息是以太网（Ethernet II）帧头部。这里可以看到目的MAC地址是ff:ff:ff:ff:ff:ff，该MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧。源地址是Giga-Byt_c8:4c:89（1c:6f:65:c8:4c:89）。帧中封装的协议类型是0x0806，这个是ARP协议的类型编号。Padding是协议中填充的数据，为了保证帧最少有64字节。

展开第三行信息，看到的结果如图1.16所示。

 

图1.16  ARP请求包

从该界面可以看到第三行信息为Address Resolution Protocol（地址解析协议请求包）。该包中的每行信息如下所示：

硬件类型：以太网

协议类型：IP（0x0800）

硬件大小：6个字节

协议大小：4个字节

操作码：请求（1）

发送方MAC地址：1c:6f:65:c8:4c:89

发送方IP地址：192.168.5.4

目的MAC地址：00:00:00:00:00:00

目的IP地址：192.168.5.1。

以上是ARP请求包中的数据。接下来分析ARP应答包中的数据，如图1.17所示。

 

图1.17  ARP响应报文

同样的在该数据帧中包含三行数据信息。其中，第一行的信息与ARP请求包中的内容相同。下面主要分析后两行信息，展开第二行信息，显示结果如图1.18所示。

 

图1.18  以太网信息

从该界面可以看到该数据包中的源MAC地址、目标MAC地址及使用的协议类型。展开第三行信息，将显示如图1.19所示的界面。

 

图1.19  ARP响应包

从该界面可以看到第三行信息为Address Resolution Protocol（地址解析协议响应包）。该包中的每行信息如下所示：

硬件类型：以太网

协议类型：IP（0x0800）

硬件大小：6个字节

协议大小：4个字节

操作码：响应（2）

发送方MAC地址：c8:3a:35:84:78:1e

发送方IP地址：192.168.5.1

目的MAC地址：1c:6f:65:c8:4c:89

目的IP地址：192.168.5.4使用Wireshark分析抓包工具抓到的ARP数据包内容ARP协议全面实战手册大学霸。